誰(shuí)都知道Cisco 路由器ACL在Cisco 路由器的安全策略中具有相當(dāng)重要的地位，所以掌握這些知識(shí)點(diǎn)是每一個(gè)網(wǎng)友必備的。其實(shí)在很多地方都會(huì)涉及到這些內(nèi)容。訪問(wèn)列表（Access List）是一個(gè)有序的語(yǔ)句集。它是基于將規(guī)則與報(bào)文進(jìn)行匹配，用來(lái)允許或拒絕報(bào)文流的排序表。用來(lái)允許或拒絕報(bào)文的標(biāo)準(zhǔn)是基于報(bào)文自身包含的信息，通常這些信息只限于第三層和第四層報(bào)文頭中的包含的信息。當(dāng)報(bào)文到達(dá)路由器的接口時(shí)，路由器對(duì)報(bào)文進(jìn)行檢查，如果報(bào)文匹配，則執(zhí)行該語(yǔ)句中的動(dòng)作；如果報(bào)文不匹配，則檢查訪問(wèn)表中的下一個(gè)語(yǔ)句。

直到***一條結(jié)束時(shí)仍沒有匹配語(yǔ)句，則報(bào)文按缺省規(guī)則被拒絕。正確的使用和配置訪問(wèn)列表是Cisco 路由器ACL配置中至關(guān)重要的一部分。因?yàn)?，有了它不僅使管理員有強(qiáng)大的控制互聯(lián)網(wǎng)絡(luò)流量的能力，而且還可以實(shí)現(xiàn)安全策略，也可以保護(hù)敏感設(shè)備防止非授權(quán)的訪問(wèn)。訪問(wèn)列表基本上是一系列條件，這些條件控制對(duì)一個(gè)網(wǎng)段的訪問(wèn)也控制來(lái)自一個(gè)網(wǎng)段的訪問(wèn)。訪問(wèn)列表可以過(guò)濾不必要的數(shù)據(jù)包，并用于實(shí)現(xiàn)安全策略。通過(guò)恰當(dāng)?shù)慕M合訪問(wèn)列表，網(wǎng)絡(luò)管理員具有了實(shí)現(xiàn)任何創(chuàng)造性的訪問(wèn)策略的能力。

IP和IPX訪問(wèn)列表工作原理非常相似——它們都是包過(guò)濾器，包被比較、被分類并遵照規(guī)定行事。一旦建立了列表，可以在任何接口上應(yīng)用入站（inbound）或出站（outbound）流量。這里有一些數(shù)據(jù)包和訪問(wèn)列表相比較時(shí)遵循的重要規(guī)則：通常是按照順序比較訪問(wèn)列表的每一行，例如，通常從***行開始，然后轉(zhuǎn)到第二行，第三行，等等。比較訪問(wèn)列表的各行直到比較到匹配的一行。一旦數(shù)據(jù)包與訪問(wèn)列表的某一行匹配，它就遵照規(guī)定行事，不再進(jìn)行后續(xù)比較。

在每個(gè)訪問(wèn)列表的***有一行隱含式的“deny（拒絕）”語(yǔ)句——意味著如果數(shù)據(jù)包與訪問(wèn)列表中的所有行都不匹配，將被丟棄。當(dāng)使用訪問(wèn)列表過(guò)濾IP和IPX包時(shí)，每個(gè)規(guī)則都有很強(qiáng)的含義。IP和IPX有兩種類型訪問(wèn)列表：標(biāo)準(zhǔn)訪問(wèn)列表 這種訪問(wèn)列表在過(guò)濾網(wǎng)絡(luò)時(shí)只使用IP數(shù)據(jù)包的源IP地址。這基本上允許或拒絕了整個(gè)協(xié)議組。IPX標(biāo)準(zhǔn)訪問(wèn)列表可以根據(jù)源IPX地址和目的IPX地址進(jìn)行過(guò)濾。擴(kuò)展訪問(wèn)列表 這種訪問(wèn)列表檢查源IP地址和目的IP地址、網(wǎng)絡(luò)層報(bào)頭中的協(xié)議字段和傳輸層報(bào)頭中的端口號(hào)。IPX擴(kuò)展訪問(wèn)列表使用源IPX地址和目的IPX地址、網(wǎng)絡(luò)層協(xié)議字段和傳輸層報(bào)頭中的套接字號(hào)。

一旦創(chuàng)建了一個(gè)訪問(wèn)列表，可應(yīng)用于輸出型或者輸入型的接口上：輸入型訪問(wèn)列表 數(shù)據(jù)包在被路由到輸出接口前通過(guò)訪問(wèn)列表而被處理。輸出型訪問(wèn)列表 數(shù)據(jù)包被路由到輸出接口，然后通過(guò)訪問(wèn)列表而被處理。這里還有一些在Cisco 路由器ACL上創(chuàng)建和實(shí)現(xiàn)訪問(wèn)列表時(shí)應(yīng)當(dāng)遵循的訪問(wèn)列表指南：每個(gè)接口、每個(gè)協(xié)議或每個(gè)方向只可以分派一個(gè)訪問(wèn)列表。這意味著如果創(chuàng)建了IP訪問(wèn)列表，每個(gè)接口只能有一個(gè)輸入型訪問(wèn)列表和一個(gè)輸出型訪問(wèn)列表。組織好訪問(wèn)列表，要將更特殊的測(cè)試放在訪問(wèn)列表的最前面。任何時(shí)候訪問(wèn)列表添加新條目的時(shí)候，將把新條目放置到列表的末尾。不能從訪問(wèn)列表中刪除一行。

如果試著這樣做，將刪除整個(gè)訪問(wèn)列表。除非在訪問(wèn)列表末尾有permitany命令，否則所有和列表的測(cè)試條件都不符合的數(shù)據(jù)包將被丟棄。每個(gè)列表應(yīng)當(dāng)至少有一個(gè)允許語(yǔ)句，否則可能會(huì)關(guān)閉接口。先創(chuàng)建訪問(wèn)列表，然后將列表應(yīng)用到一個(gè)接口。任何應(yīng)用到一個(gè)接口的訪問(wèn)列表如果不是現(xiàn)成的訪問(wèn)列表，那么此列表不會(huì)過(guò)濾流量。

訪問(wèn)列表設(shè)計(jì)為過(guò)濾通過(guò)路由器的流量。不過(guò)濾Cisco 路由器ACL產(chǎn)生的流量。將IP標(biāo)準(zhǔn)訪問(wèn)列表盡可能放置在靠近目的地址的位置。將IP擴(kuò)展訪問(wèn)列表盡可能放置在靠近源地址的位置。標(biāo)準(zhǔn)IP訪問(wèn)列表，表1列出了和標(biāo)準(zhǔn)IP訪問(wèn)列表相關(guān)的配置命令，表2列出了相關(guān)的EXEC命令。標(biāo)準(zhǔn)IPX訪問(wèn)列表，同標(biāo)準(zhǔn)IP訪問(wèn)列表配置方法類似：

access-list{numer} {permit | deny} {source_address} {destination_address}
ipx access-group {number|name}{in| out}

擴(kuò)展IPX訪問(wèn)列表，擴(kuò)展IPX訪問(wèn)列表可以根據(jù)下列任何內(nèi)容進(jìn)行過(guò)濾：源網(wǎng)絡(luò)/節(jié)點(diǎn)地址，目的網(wǎng)絡(luò)/節(jié)點(diǎn)地址IPX協(xié)議（SAP、SPX,等等），IPX套接字，同標(biāo)準(zhǔn)訪問(wèn)列表的配置方法一致，只是增加了協(xié)議和套接字信息：access-list{numer} {permit | deny} {protocol} {source} {socket}{destination } {socket}，（由于IPX不是我們介紹的重點(diǎn)，所以只是稍微介紹J）值得注意的是訪問(wèn)列表的號(hào)碼，下面是一個(gè)可以用于過(guò)濾網(wǎng)絡(luò)的訪問(wèn)列表舉例。訪問(wèn)列表可以使用的不同協(xié)議依賴于IOS版本。下面是Cisco 路由器ACL的具體碼子！

Router(config)#access-list?
<1-99> IPstandard access list
<100-199>IP extended access list
<1000-1099>IPX SAP access list
<1100-1199>Extended 48-bit MAC address access list
<1200-1299>IPX summary address access list
<200-299>Protocol type-code accesslist

<300-399>DECnet access list
<400-499>XNS standard access list
<500-599>XNS extended access list
<600-699>Appletalk access list
<700-799>48-bit MAC address accesslist
<800-899>IPX standard access list
<900-999>IPX extended access list